JP6993792B2 - Web access control device - Google Patents
Web access control device Download PDFInfo
- Publication number
- JP6993792B2 JP6993792B2 JP2017092744A JP2017092744A JP6993792B2 JP 6993792 B2 JP6993792 B2 JP 6993792B2 JP 2017092744 A JP2017092744 A JP 2017092744A JP 2017092744 A JP2017092744 A JP 2017092744A JP 6993792 B2 JP6993792 B2 JP 6993792B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- result
- website
- guesser
- malignancy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Description
本発明は、アクセス先Webサイトの悪性度を判定し、悪性サイトへの通信を遮断しつつ、ユーザによるフィードバックを基に判別精度を改善する技術に関する。 The present invention relates to a technique for determining the malignancy of an access destination website, blocking communication to the malignant site, and improving the discrimination accuracy based on feedback from the user.
近年、標的型攻撃に見られるように、攻撃が高度化しており、企業や国家にとって重大な脅威となっている。また、攻撃の高度化に伴い、外部からの侵入を完全に遮断することは困難になってきている。ここで、侵入された後の被害を抑制するためには、機密情報の窃取や感染拡大を目的とした外部への通信を遮断することが重要である。 In recent years, as seen in targeted attacks, attacks have become more sophisticated and pose a serious threat to businesses and nations. In addition, with the sophistication of attacks, it has become difficult to completely block intrusion from the outside. Here, in order to suppress damage after intrusion, it is important to block communication to the outside for the purpose of stealing confidential information and spreading infection.
以上のような背景から、適切に外部への通信を制御し、不審な通信は遮断する技術が求められている。 From the above background, there is a demand for a technology that appropriately controls communication to the outside and blocks suspicious communication.
特許文献1の技術を用いることにより、既知の悪性サイトへのアクセスを遮断できる。また、既知の良性サイトへのみアクセスを許可する等の応用も考えられる。しかし、同技術では、未知のサイトへは対応できないこと、および手動でリストを更新し続ける必要があることが課題として挙げられる。
By using the technique of
ここで、特許文献2のように、プロキシサーバ等のログから計算したWebサイトの悪性度に基づいて、悪性度が低いホワイトリスト、悪性度が高いブラックリスト、および、いずれにも属さないグレーリストを自動的に生成する技術がある。これにより、手動でのリスト更新コストを抑制できる。また、グレーリストに含まれるWebサイトに接続する際に追加認証を要求し、該追加認証に成功したときグレーリストをホワイトリストに振り分け、一定期間一度も成功しなかったときブラックリストに振り分ける技術も有する。これにより、機械的にホワイトリストやブラックリストに振り分けられなかったWebサイトであっても、認証結果に応じていずれかのリストに振り分けることが可能である。
Here, as in
既存技術では、Webサイトの悪性度を判定する機構や認証結果の精度については考慮されていない。このため、悪性度判定機構の精度によっては、悪性度の高いWebサイトを安全と判断してしまい、アクセス時に被害を受けてしまう可能性や悪性度の低いWebサイトを危険と判断してしまい、追加認証が頻発して利便性を低下してしまう可能性がある。また、ユーザの知識不足や操作ミスにより、追加認証の結果が本来あるべきものと異なってしまった場合、グレーリストからの各リストへの振り分け精度が低下し、同様の問題が発生してしまう可能性がある。 The existing technology does not consider the mechanism for determining the malignancy of a website or the accuracy of the authentication result. Therefore, depending on the accuracy of the malignancy determination mechanism, a website with a high degree of malignancy may be judged as safe, and a website with a possibility of being damaged during access or a website with a low degree of malignancy may be judged as dangerous. There is a possibility that additional authentication will occur frequently and the convenience will be reduced. In addition, if the result of additional authentication differs from what it should be due to lack of knowledge of the user or operation error, the accuracy of sorting from the gray list to each list will decrease, and the same problem may occur. There is sex.
なお、以降では、サイバー攻撃に利用される悪性なWebサイトを悪性サイト、悪性サイトではないWebサイトを良性サイトと呼称する。 Hereinafter, a malicious website used for a cyber attack will be referred to as a malicious site, and a website that is not a malicious site will be referred to as a benign site.
本発明の代表的な一例は、以下の通りである。すなわち、本発明のWebアクセス制御装置は、ユーザが操作する端末と、インターネットと、をネットワークを介して接続する装置であって、アクセス先Webサイトの悪性度をそれぞれが重み付けされた複数の機構を用いて推測するWebサイト悪性度判定プログラムと、悪性度の高いサイトへのアクセスを検出した際に、ユーザに対してその旨を伝え、ユーザの判断に基づいてアクセス可否を決定する追加認証要求プログラムと、ユーザの判断やその付随情報を基に前記Webサイト悪性度判定プログラムにフィードバックする内容を決定するフィードバック値算出プログラムと、前記Webサイトの悪性度判定プログラムを構成する各推測器の重みを前記フィードバック値算出プログラムが算出した値に基づいて更新する重み更新プログラムと、を備えることを特徴とするWebアクセス制御装置である。 A typical example of the present invention is as follows. That is, the Web access control device of the present invention is a device that connects a terminal operated by a user and the Internet via a network, and has a plurality of mechanisms in which the degree of malignancy of the accessed website is weighted. A website malignancy determination program that is inferred using the program, and an additional authentication request program that notifies the user when access to a highly malignant site is detected and determines whether or not access is possible based on the user's judgment. The weights of the feedback value calculation program that determines the content to be fed back to the website malignancy determination program based on the user's judgment and its accompanying information, and the weights of each guesser constituting the website malignancy determination program are described above. It is a Web access control device including a weight update program that updates based on a value calculated by a feedback value calculation program.
本発明によれば、Webサイトの悪性度を複数の推測器を用いて推測すること、および推測結果の正否をユーザからのフィードバックによって判定することが可能である。この際、ユーザからのフィードバックを利用し、推測結果とユーザ判断の一致率が高い推測器の重みを大きくすることにより、全体の検出精度を自動的に改善する。これらの組み合わせによって、悪性サイトへの通信は遮断しつつ、不要な追加認証やブラックリストの手動での更新コストを抑制し、利便性を向上する。 According to the present invention, it is possible to estimate the malignancy of a website using a plurality of guessers, and to determine the correctness of the guess result by feedback from the user. At this time, the feedback from the user is used, and the weight of the guesser having a high matching rate between the guess result and the user judgment is increased, so that the overall detection accuracy is automatically improved. By combining these, communication to malicious sites is blocked, unnecessary additional authentication and manual update cost of blacklist are suppressed, and convenience is improved.
以降、本発明を実施するための形態(実施例)を説明する。本実施例では、それぞれに重みが付与された悪性度を判定する推測器を複数用意してアクセス先Webサイトの悪性度を判定し、悪性度が一定の閾値より高かった場合には、ユーザに追加認証を要求する。ユーザは、追加認証を要求された際に該アクセス先Webサイトへの接続可否を判断し、問題ないと判断した場合のみ追加認証を突破し、該Webサイトへアクセスする。これにより、利用者が意図しない、あるいは追加認証の存在を想定しておらず、該追加認証を突破できないマルウェア等による悪性サイトへのアクセスを抑制できる。また、該利用者判断と該Webサイト悪性度判定プログラムが算出した結果を突合し、両者が一致したか否かによって該Webサイト悪性度判定プログラムを構成する各推測器の重みを更新する。これにより、精度の高い推測器の判定を重視するようにし、全体としての悪性度判定精度を向上する。また、利用者判断を確認する際、付随的に得られる情報を用いて該判断が正しいか否か推定し、より確からしい利用者判断の結果を悪性度判定機構に反映する。これにより、誤った利用者判断を反映することによる悪性度判定精度の低下を抑制できる。 Hereinafter, embodiments (examples) for carrying out the present invention will be described. In this embodiment, a plurality of guessers for determining the malignancy of each weighted site are prepared to determine the malignancy of the accessed website, and if the malignancy is higher than a certain threshold value, the user is notified. Request additional authentication. When the user is requested to perform additional authentication, the user determines whether or not to connect to the access destination website, and only when it is determined that there is no problem, the user breaks through the additional authentication and accesses the website. As a result, it is possible to suppress access to the malicious site by malware or the like that the user does not intend or assumes the existence of the additional authentication and cannot break through the additional authentication. In addition, the user judgment and the result calculated by the website malignancy determination program are matched, and the weight of each guesser constituting the website malignancy determination program is updated depending on whether or not the two match. As a result, the judgment of a highly accurate guesser is emphasized, and the overall malignancy judgment accuracy is improved. Further, when confirming the user judgment, it is estimated whether or not the judgment is correct by using the information obtained incidentally, and the more probable result of the user judgment is reflected in the malignancy judgment mechanism. As a result, it is possible to suppress a decrease in malignancy determination accuracy due to reflecting an erroneous user judgment.
以降では、これらの点に着目し、Webサイトの悪性度判定処理フロー、リスト更新処理、およびフィードバック値算出処理の実施例について説明する。 Hereinafter, focusing on these points, examples of the website malignancy determination processing flow, list update processing, and feedback value calculation processing will be described.
図1は、本発明の実施例に係るWebアクセス制御装置の構成例を示す図である。実施例に係るWebアクセス制御装置101は、ユーザが操作するユーザ端末121と、インターネット123と、をネットワーク122を介して接続される。
FIG. 1 is a diagram showing a configuration example of a Web access control device according to an embodiment of the present invention. The Web
Webアクセス制御装置101は、CPU(Central Processing Unit)103と、CPU103が処理を実行するために必要なデータを格納するためのメインメモリ104と、大量のデータを記憶する容量を持つハードディスクやフラッシュメモリなどの記憶装置105と、他装置と通信を行なうためのIF(インタフェース)102と、キーボード、ディスプレイなどの入出力を行うための入出力装置106と、これらの各装置を接続する通信路107と、を備えたコンピュータである。なお、通信路107は、例えば、バスやケーブルなどの情報伝達媒体である。
The Web
CPU103は、メインメモリ104に格納されたアクセス中継プログラム108を実行することにより不審な通信の制御を、Webサイト悪性度判定プログラム109を実施することによりアクセス先Webサイトの悪性度の判定を、追加認証要求プログラム110を実行することによりユーザ端末121を操作するユーザの追加認証を、アクセス先情報取得プログラム111を実行することによりアクセス先Webサイトの情報取得を、リスト更新プログラム112を実行することによりグレーリスト118、ブラックリスト119、ホワイトリスト120の更新を、フィードバック値算出プログラム113を実行することによりWebサイト悪性度判定プログラム109を構成する各悪性度推測器124に割り当てられた重みへフィードバックする値の算出を、重み更新プログラム114を実行することによりフィードバック値算出プログラム113での算出値に基づいて推測器管理表116に記録されているWebサイト悪性度判定プログラム109を構成する各悪性度推測器124に割り当てられた重みの更新を行う。 記憶装置105には、ユーザ端末121を操作するユーザの追加認証結果やその際の付随情報を示す追加認証履歴115、Webサイト悪性度判定プログラム109を構成する悪性度推測器124の情報を管理する推測器管理表116、該推測器の時系列ごとの重みを管理する推測器重み履歴117、不審な通信先の情報を示すグレーリスト118、危険な通信先の情報を示すブラックリスト119、安全な通信先の情報を示すホワイトリスト120が格納されている。
The
上記の各プログラムやデータは、あらかじめメインメモリ104または記憶装置105に格納されていてもよいし、必要な時に、入出力装置106からまたは、IF102を介して他の装置から、インストール(ロード)されても良い。
Each of the above programs and data may be stored in the
図2は、追加認証履歴115の一例を示す図である。図2に示すように、追加認証履歴115は、ID201と、認証結果202と、付随情報203と、ユーザ識別情報207と、URL208とを含んで構成される。また、付随情報は、例えば、認証に要した時間204と、正解数205と、サイト情報表示有無206とから構成される。
FIG. 2 is a diagram showing an example of the
ID201は、認証情報を一意に識別できる情報を表す。
認証結果202は、ユーザが追加認証に成功したか否かを表す。例えば、認証結果202が「成功」の場合は、ユーザが追加認証の突破に成功したことを、認証結果202が「失敗」の場合は、ユーザが追加認証の突破に失敗したことを表す。
The
付随情報203は、ユーザが追加認証に臨んだ際に付随的に得られる情報を表す。ここでは、付随情報203は、認証に要した時間204と、正解数205と、サイト情報表示有無206とから構成されるものとして説明する。
The
認証に要した時間204は、ユーザに追加認証画面が提示されてから、認証が試行されるまでに要した時間を表す。例えば、追加認証画面が表示されてから認証の試行に4.3秒を要した場合、認証の成否に関わらず、「4.3」と記録される。また、あらかじめ定められた一定時間認証突破の試行がなかった場合、「timeout」と記録される。 The time required for authentication 204 represents the time required from the presentation of the additional authentication screen to the user until the authentication is attempted. For example, if it takes 4.3 seconds to try authentication after the additional authentication screen is displayed, "4.3" is recorded regardless of the success or failure of the authentication. In addition, if there is no attempt to break through the authentication for a predetermined period of time, it is recorded as "timeout".
正解数205は、追加認証に文字列での認証を用いた場合に、全体の文字数のうち、どれだけ正解したかの数と、その正解率とを表す。例えば、認証文字列が「abcd」だった際、「abvf」と入力があったならば、全4文字中前半の2文字が正解しているため、「2(50%)」と記録される。なお、該時間は、追加認証要求プログラム110において、追加認証画面を提示した時間とユーザからの追加認証文字列を受信した時間の差分によって算出される。
The number of
サイト情報表示有無206は、追加認証時にユーザが該アクセス先Webサイトが悪性か否か判断する材料として追加情報を要求したか否かを表す。例えば、「有」の場合は、ユーザが追加情報を要求したことを、「無」の場合には、ユーザが追加情報を要求しなかったことを表す。なお、ユーザの判断を補助するための追加情報としては、該アクセス先Webサイトのサムネイル画像、whois情報、およびDNS情報等が挙げられる。
The presence / absence of
なお、追加認証履歴115の格納情報は、不審サイトへのアクセス試行があった際の追加認証時に取得され、格納されるものとする。また、今回は、付随情報として認証に要した時間204と、正解数205と、サイト情報表示有無206とを挙げたが、該情報以外に付随的に得られる情報を用いても良いものとする。
The stored information of the
ユーザ識別情報207は、追加認証に臨んだユーザを一意に識別できる情報を表す。例えば、該ネットワーク環境において、「123」と識別子を付与されたユーザが該認証に望んだ場合、該ユーザを表す「123」が記録される。なお、今回はネットワークシステム上でユーザに付与された識別子を用いたが、ユーザを一意に識別できればよく、例えば、ユーザ端末のIP(Internet Protocol)アドレスや、該ユーザのユーザ名を用いても良い。
The
URL208は、該追加認証の対象となった不審な接続先のURLを表す。例えば、「foo.com」の場合は、該URLは、該追加認証の対象となった不審な接続先であることを表す。なお、今回は、URLを用いたが、不審な接続先を識別できれば良く、例えば、IPアドレスや、FQDN(Fully Qualified Domain Name)を用いても良い。
図3は、推測器管理表116の一例を示す図である。図3に示すように、推測器管理表116は、ID301と、正解率302と、重み303と、直近の悪性度判定結果304とを含んで構成される。
FIG. 3 is a diagram showing an example of the guesser management table 116. As shown in FIG. 3, the guesser management table 116 includes an
ID301は、Webサイト悪性度判定プログラム109を構成する各悪性度推測器124を一意に識別できる情報を表す。
正解率302は、これまでの各不審サイトに対する判定結果(悪性/良性)とユーザの追加認証結果(非突破/突破)の一致率を表す。例えば、「80%」の場合は、N回の不審サイトの悪性度判定機会のうち、0.8N回分の判定結果がユーザの追加認証結果と一致していたことを表す。該正解率が高い推測器ほどWebアクセス制御装置を導入した組織での悪性サイトの判別精度が高いものとして、重みを大きく付与される。各推測器に付与する重みを算出する際の具体的な処理手順については、図11を用いて後述する。
The
重み303は、各推測器に割り当てられた重みの合計値が1になるように正規化された値を表す。例えば、「0.2」の場合は、全推測器のうち20%の判断権を該推測器が有することを表す。
The
直近の悪性度判定結果304は、直近の悪性度判断機会において、判定対象の悪性度をどのように判定したかを表す。例えば、「75%」の場合は、当該推測器は、判定対象が75%の確率で悪性であると判断したことを表す。なお、今回はアクセス先Webサイトの不審度を表す指標として、該アクセス先Webサイトの悪性度を用いて説明したが、該アクセス先Webサイトの良性度等、不審度を表すことのできる指標であれば、どのような情報を用いても良い。
The latest
なお、推測器管理表116の各情報は、管理者が必要に応じて、入力または更新しても良い。 The information in the guesser management table 116 may be input or updated by the administrator as necessary.
図4は、推測器重み履歴117の一例を示す図である。図4に示すように、推測器重み履歴117は、時刻401と、重み402と、悪性度判定結果403と、認証結果との一致404とを含んで構成される。また、推測器重み履歴117は、Webサイト悪性度判定プログラム109を構成する悪性度推測器124毎に用意され、該推測器に関する情報を格納する。なお、図4では、図3のIDが0の悪性度推測器124に対応する推測器重み履歴117を例示している。
FIG. 4 is a diagram showing an example of the
時刻401は、推測器が不審サイトの悪性度を判定した時間を表す。なお、図では、年/月/日 時間:分:秒.小数秒の表記を用いているが、Unixtime等、時刻が判別できる情報であれば、どのような情報を用いても良い。
重み402は、当該時刻における該推測器の重みを表す。例えば、「0.3」の場合は、当該時刻に該推測器へ0.3の重みが付与されていたことを表す。
The
悪性度判定結果403は、当該時刻における悪性度判定対象のWebサイトに対して、該推測器が算出した悪性度を表す。例えば、「75%」の場合は、該推測器は、当該時刻に判定対象が75%の確率で悪性であると判断したことを表す。
The
認証結果との一致404は、当該時刻における不審サイトに対する判定結果(悪性/良性)とユーザの追加認証結果(非突破/突破)が一致したか否かを表す。例えば、「一致」の場合は、両者が一致していたことを、「不一致」の場合は、両者が一致していなかったことを表す。
The
図5は、グレーリスト118の一例を示す図である。図5に示すように、グレーリスト118は、ID501と、URL502と、認証成功ユーザ数503と、認証失敗ユーザ数504と、ユーザ毎の認証結果505とを含んで構成される。
FIG. 5 is a diagram showing an example of the
ID501は、グレーリスト118を一意に識別できる情報を表す。
URL502は、不審な接続先のURLを表す。例えば、「example.com」の場合は、該URLは不審な接続先であることを表す。なお、今回は、URLを用いたが、不審な接続先を識別できれば良く、例えば、IPアドレスや、FQDNを用いても良い。
認証成功ユーザ数503は、該接続先の追加認証を突破したユーザのユニーク数を表す。例えば、「2」の場合は、2人のユーザが該接続先の追加認証を突破したことを表す。なお、該成功回数は、後述するユーザ毎の認証結果505を用いることによって算出できる。
The number of
認証失敗ユーザ数504は、該接続先の追加認証を突破しなかったユーザのユニーク数を表す。例えば、「4」の場合は、4人のユーザが該接続先の追加認証を突破しなかったことを表す。なお、該失敗回数は、後述するユーザ毎の認証結果505を用いることによって算出できる。
The number of authentication-failed
ユーザ毎の認証結果505は、該接続先に対するユーザ毎の最新の認証結果を表す。例えば、「123:成功, 789:失敗」の場合は、識別子123のユーザが追加認証を突破したことと識別子789のユーザが追加認証を突破しなかったことを表す。
The
グレーリスト118は、Webサイト悪性度判定プログラム109によって悪性であると判定された接続先がリスト更新プログラム112によって登録される。Webサイト悪性度判定プログラム109と、リスト更新プログラム112との具体的な処理については、図9と、図10とを用いて後述する。
In the
なお、グレーリスト118の各情報は、管理者が必要に応じて、登録または更新しても良い。
The information in the
図6は、ブラックリスト119の一例を示す図である。図6に示すように、ブラックリスト119は、ID601と、URL602とを含んで構成される。
FIG. 6 is a diagram showing an example of
ID601は、ブラックリスト119を一意に識別できる情報を表す。
ID601 represents information that can uniquely identify the
URL602は、悪性サイトのURLを表す。例えば、「black.com」の場合は、該URLは悪性サイトであることを表す。なお、今回は、URLを用いたが、悪性サイトを識別できれば良く、例えば、IPアドレスや、FQDNを用いても良い。
ブラックリスト119は、Webサイト悪性度判定プログラム109によって悪性であると判定され、かつ一定数以上ユーザが認証を突破しなかった接続先がリスト更新プログラム112によって登録される。Webサイト悪性度判定プログラム109と、リスト更新プログラム112との具体的な処理については、図9と、図10とを用いて後述する。
The
なお、グレーリスト118の各情報は、管理者が必要に応じて、登録または更新しても良い。
The information in the
図7は、ホワイトリスト120の一例を示す図である。図7に示すように、ホワイトリスト120は、ID701と、URL702とを含んで構成される。
FIG. 7 is a diagram showing an example of the
ID701は、ホワイトリスト120を一意に識別できる情報を表す。
ID701 represents information that can uniquely identify the
URL702は、良性サイトのURLを表す。例えば、「white.com」の場合は、該URLは良性サイトであることを表す。なお、今回は、URLを用いたが、悪性サイトを識別できれば良く、例えば、IPアドレスや、FQDNを用いても良い。 URL702 represents the URL of a benign site. For example, in the case of "white.com", it means that the URL is a benign site. Although the URL is used this time, it is sufficient if the malicious site can be identified, and for example, an IP address or FQDN may be used.
ホワイトリスト120は、Webサイト悪性度判定プログラム109によって悪性であると判定されたものの、一定数以上ユーザが認証を突破した接続先がリスト更新プログラム112によって登録される。Webサイト悪性度判定プログラム109と、リスト更新プログラム112との具体的な処理については、図9と、図10とを用いて後述する。
Although the
なお、ホワイトリスト120の各情報は、管理者が必要に応じて、登録または更新しても良い。
The information in the
続いて、Webアクセス制御装置101のアクセス中継プログラム108が、ユーザ端末121からの通信を中継し、Webサイト悪性度判定プログラム109がアクセス先Webサイトの悪性度を判定し、追加認証要求プログラム110がユーザ端末121に対して追加認証を要求し、アクセス先情報取得プログラム111がアクセス先Webサイトの情報を取得し、リスト更新プログラム112がグレーリスト118、ブラックリスト119、およびホワイトリスト120を更新し、フィードバック値算出プログラム113がWebサイト悪性度判定プログラム109を構成する各悪性度推測器124に割り当てられた重みへフィードバックする値を算出し、重み更新プログラム114がフィードバック値算出プログラム113での算出値に基づいてWebサイト悪性度判定プログラム109を構成する各悪性度推測器124に割り当てられた重みを更新する処理について説明する。
Subsequently, the
図8は、Webアクセス制御装置101の全体処理フローを示す図である。図8に示すように、アクセス中継プログラム108は、CPU103により実行され、ユーザ端末121からの通信をIF102a経由で中継する(ステップ801)。
FIG. 8 is a diagram showing an overall processing flow of the Web
アクセス中継プログラム108は、ブラックリストを参照し、アクセス先Webサイトが該ブラックリストに該当した場合はステップ810aに進み、該当しなかった場合はステップ803に進む(ステップ802)。
The
アクセス中継プログラム108は、ホワイトリストを参照し、アクセス先Webサイトが該ホワイトリストに該当した場合はステップ811aに進み、該当しなかった場合はステップ804に進む(ステップ803)。
The
Webサイト悪性度判定プログラム109は、アクセス先Webサイトの悪性度を算出し、ステップ805に進む(ステップ804)。なお、Webサイト悪性度判定プログラム109の悪性度算出フローについては、図9を用いて後述する。
The website
アクセス中継プログラム108は、ステップ804で算出した悪性度をあらかじめ制定しておいた閾値と比較し、該悪性度が閾値よりも低い場合はステップ811aに進み、高い場合はステップ806へ進む(ステップ805)。
The
追加認証要求プログラム110は、ユーザに追加認証を要求し、ステップ807へ進む(ステップ806)。
The additional
ここで、追加認証要求プログラム110は、ユーザへの追加認証に、CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)のような人間と機械を分別するような方式を利用することが考えられる。これにより、マルウェアが機械的に悪性サイトへアクセスしようとした場合でも、該認証を突破することは困難であり、人間の悪性サイトへのアクセスに加え、マルウェアによる悪性サイトへのアクセスも抑制できる。ユーザの。なお、追加認証要求プログラム110の表示画面については、図13を用いて後述する。
Here, it is conceivable that the additional
追加認証要求プログラム110は、ユーザがアクセス先Webサイトの追加認証に際して追加情報を要求したか確認し、要求があった場合はステップ808へ、要求が無かった場合はステップ809へ進む(ステップ807)。
The additional
アクセス先情報取得プログラム111は、アクセス先のサイト情報を取得し、取得した情報をユーザ端末121へ表示する。(ステップ808)。 The access destination information acquisition program 111 acquires the site information of the access destination and displays the acquired information on the user terminal 121 . (Step 808).
追加認証要求プログラム110は、ユーザが追加認証に成功したか確認し、成功していた場合は811bへ、失敗していた場合は810bへ進む(ステップ809)。
The additional
アクセス中継プログラム108は、ユーザの当該サイトへのアクセスを拒否し、処理を終了する(ステップ810a)。
The
アクセス中継プログラム108は、ユーザの当該サイトへのアクセスを許可し、処理を終了する(ステップ811a)。
The
アクセス中継プログラム108は、ユーザの当該サイトへのアクセスを拒否し、ステップ812へ進む(ステップ810b)。
The
アクセス中継プログラム108は、ユーザの当該サイトへのアクセスを許可し、ステップ812へ進む(ステップ811b)。
The
アクセス中継プログラム108は、ユーザからの追加認証文字列を受信し、追加認証履歴115に、該追加認証文字列による認証結果や該認証時の付随情報等の追加認証の情報を記録し、ステップ813へ進む(ステップ812)。
The
アクセス中継プログラム108は、ユーザの追加認証結果(認証を突破したか否か)をリスト更新プログラム112とフィードバック値算出プログラム113に通知し、各プログラムの処理であるステップ814と、ステップ815とに進む(ステップ813)。
The
リスト更新プログラム112は、追加認証履歴115を参照し、ユーザの追加認証結果を取得後、該情報を用いてグレーリスト118、ブラックリスト119、およびホワイトリスト120を更新する(ステップ814)。なお、リスト更新プログラム112の各リスト更新フローについては、図10を用いて後述する。
The
フィードバック値算出プログラム113は、追加認証履歴115を参照し、ユーザの追加認証結果や付随情報を取得後、該情報を用いてフィードバック値を算出し、ステップ815へ進む(ステップ815)。なお、フィードバック値算出プログラム113のフィードバック値算出フローについては、図11を用いて後述する。
The feedback
重み更新プログラム114は、フィードバック値算出プログラム113が算出した値を基に推測器管理表116に記録されている各推測器の重みを更新し、処理を終了する(ステップ816)。
The
なお、ステップ806において、アクセス先Webサイトの悪性度が閾値以上の場合にユーザへ追加認証を要求しているが、ユーザの認証結果をキャッシュしておき、該ユーザが該アクセス先サイトに対する追加認証を1度でも突破していた場合、追加認証を要求せずアクセスを許可しても良い。これにより、ユーザの利便性が効率することが期待できる。
In
図9は、Webサイト悪性度判定プログラム109の処理フローの一例を示す図である。図9に示すように、CPU103により実行され、ユーザ端末121の通信先のうち、ブラックリストと、ホワイトリストとに記録されていないものをアクセス中継プログラム108より受信すると、処理を開始する(ステップ901)。なお、Webサイト悪性度判定プログラムは、それぞれが重みを持つ複数の悪性度推測器124から構成されており、各推測器の判断結果を統合して最終的な値を算出する。ここでの悪性度推測器としては、URLの文字列から該Webサイトの悪性度を推測するもの、該Webサイトに関する外部情報(whois情報やDNS情報等)から該Webサイトの悪性度を推測するもの、および該Webサイトのコンテンツから該Webサイトの悪性度を推測するものが考えられる。
FIG. 9 is a diagram showing an example of the processing flow of the website
Webサイト悪性度判定プログラム109は、アクセス中継プログラム108から受信したアクセス先Webサイトを各悪性度推測器124へ入力し、ステップ903へ進む(ステップ902)。
The website
Webサイト悪性度判定プログラム109は、各悪性度推測器124の判定結果の受信を開始し、全ての推測器から結果を受信した後、ステップ904へ進む(ステップ903)。
The website
Webサイト悪性度判定プログラム109は、ステップ903で受信した各推測器の判定結果を推測器管理表116と推測器重み履歴117へ記録し、ステップ905へ進む(ステップ904)
Webサイト悪性度判定プログラム109は、ステップ903で受信した各推測器の推測結果を推測器管理表116を参照することによって得られる各推測器に付与された重みに掛け合わせ、その合計値を最終予測結果として算出し、処理を終了する(ステップ905)。なお、上述の算出手順は、次の計算式(数1)のように示すことができる。
The website
The website
また、悪性度推測器124の追加・削除は可能であり、管理者が必要に応じて該悪性度推測器124の追加・削除を行っても良い。 Further, the malignancy estimator 124 can be added / deleted, and the administrator may add / delete the malignancy estimator 124 as needed.
図10は、リスト更新プログラム112の処理フローの一例を示す図である。図10に示すように、CPU103により実行され、ユーザ端末121の通信先のうち、Webサイト悪性度判定プログラム109によって、その悪性度が閾値以上と判定されたWebサイトに対するユーザの追加認証結果をアクセス中継プログラム108より受信すると、処理を開始する(ステップ1001)。
FIG. 10 is a diagram showing an example of the processing flow of the
リスト更新プログラム112は、グレーリスト118を参照し、アクセス先Webサイトが該グレーリストに該当した場合はステップ1004に進み、該当しなかった場合はステップ1003に進む(ステップ1002)。
The
リスト更新プログラム112は、アクセス先Webサイトをグレーリスト118に登録し、ステップ1004に進む(ステップ1003)。
The
リスト更新プログラム112は、アクセス中継プログラム108より受信したユーザの追加認証結果を参照し、該追加認証結果をグレーリスト118に記録し、グレーリスト118の認証成功ユーザ数、認証失敗ユーザ数、およびユーザ毎の認証結果を更新した後、ステップ1005に進む(ステップ1004)。
The
リスト更新プログラム112は、アクセス中継プログラム108より受信したユーザの追加認証結果を参照し、認証に成功していた場合はステップ1006に進み、認証に失敗していた場合はステップ1009に進む(ステップ1005)。
The
リスト更新プログラム112は、グレーリスト118を参照し、アクセス先Webサイトの累計認証成功ユーザ数が一定数を超えていた場合はステップ1007に進み、超えていなかった場合は処理を終了する(ステップ1006)。
The
リスト更新プログラム112は、アクセス先Webサイトをホワイトリスト120に登録し、ステップ1008に進む(ステップ1007)
リスト更新プログラム112は、アクセス先Webサイトに対応する行をグレーリスト118から削除し、処理を終了する(ステップ1008)。
The
The
リスト更新プログラム112は、グレーリスト118を参照し、アクセス先Webサイトの累計認証失敗ユーザ数が一定数を超えていた場合はステップ1010に進み、超えていなかった場合は処理を終了する(ステップ1009)。
The
リスト更新プログラム112は、アクセス先Webサイトをブラックリスト119に登録し、ステップ1011に進む(ステップ1010)
リスト更新プログラム112は、アクセス先Webサイトに対応する行をグレーリスト118から削除し、処理を終了する(ステップ1011)。
The
The
図11は、フィードバック値算出プログラム113の処理フローを示す図である。図11に示すように、CPU103により実行され、ユーザ端末121の通信先のうち、Webサイト悪性度判定プログラム109によって、その悪性度が閾値以上と判定されたアクセス先Webサイトに対するユーザの追加認証結果をアクセス中継プログラム108より受信すると、処理を開始する(ステップ1101)。なお、今回は認証結果202と付随情報203として認証に要した時間204、正解数205、およびサイト情報表示有無206を用いた場合の一例を説明するが、該情報以外を用いることや同様の情報を用いた場合でも異なる処理フローで最終的な値を算出することも可能である。
FIG. 11 is a diagram showing a processing flow of the feedback
フィードバック値算出プログラム113は、値の初期値1.0を設定し、ステップ1103に進む(ステップ1102)。
The feedback
フィードバック値算出プログラム113は、追加認証履歴115の最新エントリから認証情報を取得し、ステップ1104に進む(ステップ1103)。
The feedback
フィードバック値算出プログラム113は、ステップ1103で取得した認証情報を参照し、認証に成功していた場合はステップ1109に進み、認証に失敗していた場合はステップ1105に進む(ステップ1104)。
The feedback
フィードバック値算出プログラム113は、ステップ1103で取得した認証情報を参照し、認証がタイムアウトしていた場合はステップ1112に進み、していなかった場合はステップ1106に進む(ステップ1105)。
The feedback
フィードバック値算出プログラム113は、ステップ1103で取得した認証情報を参照し、サイト情報の表示があった場合はステップ1112に進み、なかった場合はステップ1107に進む(ステップ1106)。
The feedback
フィードバック値算出プログラム113は、値を0.5倍し、ステップ1108に進む(ステップ1107)
フィードバック値算出プログラム113は、ステップ1103で取得した認証情報を参照し、値を正解数に応じて減少し、ステップ1112に進む(ステップ1108)
フィードバック値算出プログラム113は、ステップ1103で取得した認証情報を参照し、値を認証に要した時間に応じて減少し、ステップ1110に進む(ステップ1109)
フィードバック値算出プログラム113は、ステップ1103で取得した認証情報を参照し、サイト情報の表示があった場合はステップ1112に進み、なかった場合はステップ1111に進む(ステップ1110)。
The feedback
The feedback
The feedback
The feedback
フィードバック値算出プログラム113は、値を0.5倍し、ステップ1112に進む(ステップ1111)
フィードバック値算出プログラム113は、ここまでのステップで算出した最終的な値を返却し、処理を終了する(ステップ1112)。
The feedback
The feedback
本処理により、ユーザの認証結果の確からしさを数値化し、該確からしさに応じてWebサイト悪性度判定プログラム109を構成する各推測器124へフィードバックを行うことが可能となる。
By this process, the certainty of the user's authentication result can be quantified, and feedback can be given to each guesser 124 constituting the website
なお、今回付随情報203として認証に要した時間204、正解数205、およびサイト情報表示有無206を用いた理由は、以下の通りである。
The reasons for using the time 204 required for authentication, the number of
認証に要した時間204は、主に人間によるアクセスとマルウェアによるアクセスを分別するために用いる。不審サイトへアクセスした際に要求する追加認証は、通常のWebアクセス時には発生せず、人間は該追加認証が出た際に人間は柔軟に対応できるのに対し、該追加認証を想定していないマルウェアは、これを突破できずタイムアウトになる。あるいは、近年の攻撃の高度化に伴い、追加認証を突破する機能を持つマルウェアも報告されているが、この場合は、プログラムによって人間では達成困難な入力速度で認証突破を試みると推察される。以上のように、マルウェアが認証に要する時間には、タイムアウト、あるいはきわめて短いといった特徴があり、人間による認証と分類に有用であることから、該情報を利用した。 The time 204 required for authentication is mainly used to separate human access and malware access. The additional authentication required when accessing a suspicious site does not occur during normal Web access, and while humans can flexibly respond when the additional authentication is issued, the additional authentication is not assumed. Malware cannot break through this and times out. Alternatively, with the sophistication of attacks in recent years, malware with a function to break through additional authentication has been reported, but in this case, it is presumed that the program attempts to break through authentication at an input speed that is difficult for humans to achieve. As described above, the time required for authentication by malware has a characteristic of time-out or extremely short, and is useful for human authentication and classification. Therefore, this information was used.
また、認証結果が成功だった場合、フィードバック値算出プログラム113は、ステップ1109において、認証に要した時間に応じてフィードバックする値を減算している。一方で、認証結果が失敗の場合は、同減算は行っていない。これは、アクセス先Webサイトが不審な場合でもリスクを鑑みずにアクセスしてしまうユーザを考慮したものである。セキュリティレベルの低いユーザは、アクセス先Webサイトが不審であると警告を受けたとしても、そのリスクを鑑みずにアクセスしてしまうことが考えられる。一方で、追加認証を突破せずにアクセスを中止した場合は、アクセス先Webサイトのリスクを考慮した上のものであると推察される。上述の追加認証結果の性質から、認証成功の信頼性は、認証失敗の信頼性よりも高いと推察される。以上の理由から、認証突破の場合は、認証を突破しなかった場合にはないフィードバックする値の減算を行っており、これによって、該追加認証の信頼性を反映している。
If the authentication result is successful, the feedback
正解数205は、主に認証失敗時、該失敗がヒューマンエラーによるものか否かを分別するために用いる。例えば、認証に失敗した際、意図したものであれば、何も入力しない、あるいは適当な文字を入力することにより、認証突破のために要求された文字列から大きく外れることが推察される。一方で、意図しないもの(ヒューマンエラー)は、突破しようとしたものの外れてしまった入力であることから、認証突破のために要求された文字列から大きくは外れないことが推察される。以上のように、認証の失敗がヒューマンエラーによるか否かは、認証突破のために要求された文字列に対する入力の正解数に現れることから、該情報を利用した。
The number of
サイト情報表示有無206は、主にユーザの認証結果の確からしさを検証するために用いる。Webアクセス制御装置101は、前述の通り、ユーザが追加認証を要求された際にユーザの要求に応じてアクセス先Webサイトの情報を追加で取得・表示する機能を有する。該情報を要求したユーザは、追加情報を要求し、アクセス先Webサイトの性質を多角的に判断しようとするセキュリティ意識の高いユーザであることが推察されることに加え、その際の判断は追加情報を見た上のものであることから、該追加情報を見ていない判断よりも信頼性が高いと推察される。以上のように、サイト情報表示有無206は、ユーザの認証結果の信頼性を検証するのに有用であることから、該情報を利用した。
The site information display presence /
図12は、重み更新プログラム114の処理フローを示す図である。図12に示すように、CPU103により実行され、フィードバック値算出プログラム113よりWebサイト悪性度判定プログラムを構成する各悪性度推測器124に反映するフィードバック値を受信すると、処理を開始する(ステップ1201)。
FIG. 12 is a diagram showing a processing flow of the
重み更新プログラム114は、悪性度推測器124のIDを意味する変数iに初期値0を設定し、ステップ1203に進む(ステップ1202)。
The
重み更新プログラム114は、追加認証履歴115と推測器管理表116を参照し、IDが変数iの推測器の推測結果と認証結果を取得した後、ステップ1204に進む(ステップ1203)。
The
重み更新プログラム114は、ステップ1103で取得したIDが変数iの推測器の推測結果と認証結果を比較し、両者が一致していた場合はステップ1205に進み、一致していなかった場合はステップ1206に進む(ステップ1204)。
The
重み更新プログラム114は、IDが変数iの推測器の重みをフィードバック値算出プログラム113より受信した値に応じて加算し、推測器管理表116に記録されている該推測器の重みを加算後の値に更新した後、ステップ1207へ進む(ステップ1205)。
The
重み更新プログラム114は、IDが変数iの推測器の重みをフィードバック値算出プログラム113より受信した値に応じて減算し、推測器管理表116に記録されている該推測器の重みを減算後の値に更新した後、ステップ1207へ進む(ステップ1206)。
The
重み更新プログラム114は、変数iに1加算し、ステップ1203に進む(ステップ1207)。
The
重み更新プログラム114は、変数iと推測器管理表116を参照することによって得ることのできる推測器数を比較し、変数iが推測器数に満たない場合はステップ1203に戻り、推測器数を上回っていた場合はステップ1209へ進む(ステップ1208)。
The
重み更新プログラム114は、推測器の重みの合計が1になるように、推測器管理表116に記録されている各悪性度推測器124の重みを正規化し、処理を終了する(ステップ1209)。
The
図13は、追加認証要求プログラム110によって表示される追加認証画面の一例を示す図である。図13aに示すように、アクセス先Webサイト悪性度判定プログラムによって閾値以上の悪性度を示したWebサイトへアクセスしようとした際、追加認証画面を表示し、画面内の追加認証を突破した場合のみ、該Webサイトへのアクセスを許可する。該追加認証画面は、アクセス先Webサイトが不審であるという警告文1301と、追加認証用の文字列表示欄1302と、追加認証文字列入力フォーム1303と、追加認証文字列送信ボタン1304と、追加情報要求ボタン1305とから構成される。ユーザは、該Webサイトが悪性でないと判断した場合のみ追加認証用の文字列表示欄1302に示された文字列を追加認証文字列入力フォーム1303に正しく入力し、追加認証文字列送信ボタン1304を押下することにより、アクセスを続行できる。また、ユーザがアクセス可否の判断に窮した際には、追加情報要求ボタン1305を押下することにより、該判断のための追加情報を取得・表示できる。該追加情報表示後の画面の一例を図13bに示す。追加情報表示後の追加認証画面は、Webサイト情報表示欄1306と、Webサイトサムネイル表示欄1307とから構成される。Webサイト情報表示欄1306には、whois情報やDNS情報といった該アクセス先Webサイトに関する公開情報が表示される。Webサイトサムネイル表示欄1307には、実際に該アクセス先Webサイトにアクセスした際のサムネイルが画像で表示される。ユーザはこれらの情報を基に、該アクセス先Webサイトへのアクセス可否を判断する。
FIG. 13 is a diagram showing an example of an additional authentication screen displayed by the additional
なお、本実施例の一部を変更して以下のように実施しても良い。 In addition, you may change a part of this Example and carry out as follows.
アクセス先Webサイトの悪性度の最終予測結果が閾値以下であっても、ある1つ以上の推測器が高い悪性度を算出した場合は、追加認証を要求しても良い。これにより、汎用性の低さから重みが少なくなりがちな特定の悪性サイトを検出することに特化したような推測器であっても、Webサイト悪性度判定プログラム109に組み込むことが可能になり、検出漏れを抑制できる。
Even if the final prediction result of the malignancy of the access destination website is equal to or less than the threshold value, if one or more guessers calculate the high malignancy, additional authentication may be requested. This makes it possible to incorporate into the website
また、悪性度の値によって追加認証の難易度を上下させても良い。例えば、悪性度が相対的に低い場合はボタンのクリックのみ、高い場合はCAPTCHA認証を行うことが考えられる。これにより、良性よりのグレーなサイトに対するユーザの認証にかかる負荷を抑制できる。 In addition, the difficulty level of additional authentication may be increased or decreased depending on the value of the degree of malignancy. For example, if the malignancy is relatively low, only button clicks may be performed, and if the malignancy is high, CAPTCHA authentication may be performed. As a result, it is possible to suppress the load on the user's authentication for a gray site rather than benign.
また、検証後のユーザの追加認証結果を正解データ(Ground Truth)として扱い、データが与えられる毎に逐次的に学習し、モデルを構築するオンライン学習の教師データに利用しても良い。これにより、各推測器に付与する重みの最適化だけでなく、推測器そのものの最適化も可能となる。 Further, the additional authentication result of the user after verification may be treated as correct answer data (Ground Truth), and each time the data is given, the additional authentication result may be sequentially learned and used as teacher data for online learning to build a model. This makes it possible not only to optimize the weight given to each guesser, but also to optimize the guesser itself.
また、本発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化することができる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成することができる。例えば、実施形態に示される全構成要素からいくつかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせても良い。 Further, the present invention is not limited to the above-described embodiment as it is, and at the implementation stage, the components can be modified and embodied within a range that does not deviate from the gist thereof. In addition, various inventions can be formed by an appropriate combination of the plurality of components disclosed in the above-described embodiment. For example, some components may be removed from all the components shown in the embodiments. Furthermore, components over different embodiments may be combined as appropriate.
本実施例は、実施例1に係るWebアクセス制御装置101を含み、さらに悪性度推測器124に付与する重みを更新する際に、該重みの時系列変化に着目し、より適した形で重みを付与する機能を有するWebアクセス制御装置である。
This embodiment includes the Web
実施例2では、推測器の重みの時系列変化に着目し、重みの変化にこれまでと異なる傾向が見られた場合、重みの更新を保留する。例えば、潜在的に精度の高い推測器の重みは、単調増加を続け、上昇値が飽和した値へ収束することが推察されるが、ユーザの認証結果があるべきものと異なっていた場合、単調増加、あるいは一定値に収束していた重みが減少方向に向かう。この変化点を検出し、その場合重みの更新を一旦保留することにより、その重みの変動が正しいものなのか、あるいはユーザの認証ミス等によるノイズかを見極め、不適切な重みの上下を抑制でき、Webサイト悪性度の判定精度の低下を抑制できる。 In the second embodiment, attention is paid to the time-series change of the weight of the guesser, and when the change of the weight shows a different tendency from the past, the update of the weight is suspended. For example, it is inferred that the potentially accurate guesser weights continue to increase monotonically and the rising value converges to a saturated value, but if the user's authentication result is different from what it should be, it is monotonous. The weight that has increased or converged to a constant value tends to decrease. By detecting this change point and suspending the update of the weight in that case, it is possible to determine whether the fluctuation of the weight is correct or the noise due to the user's authentication error, etc., and suppress the improper weight increase / decrease. , It is possible to suppress a decrease in the determination accuracy of the website malignancy.
図14は、本実施例における重み更新フローの例である。実施例1と同一の構成要素には同一の符号を付すことによってその説明を省略し、以下では、実施例1と異なる点を中心に説明する。 FIG. 14 is an example of the weight update flow in this embodiment. The same components as those in the first embodiment are designated by the same reference numerals, and the description thereof will be omitted. Hereinafter, the differences from the first embodiment will be mainly described.
重み更新プログラム114は、図12に示したフローに加え、重み更新時にその時系列変化に着目した処理フローを有する。具体的には、ステップ1204において、該推測器の推測結果と認証結果が一致したか否かを検証し、重みを加算/減算するフローに分岐した際に、重みの時系列変化を基に実際に重みを加算/減算するか判断するステップ1210とステップ1211を有する。以降では、ステップ1210とステップ1211の処理内容について説明する。
In addition to the flow shown in FIG. 12, the
重み更新プログラム114は、IDが変数iの推測器の重みの時系列変化を該推測器に対応する推測器管理表116を参照し、取得する。また、仮に重みを加算した場合、重みの変化の傾向がこれまでと異なるか検証し、これまでの変化と異なる傾向が見られた場合、重み更新を保留するために、ステップ1207へ進む。重みの変化にこれまでと異なる傾向が見られなかった場合は、ステップ1205へ進む(ステップ1210)。
The
重み更新プログラム114は、IDが変数iの推測器の重みの時系列変化を該推測器に対応する推測器管理表116を参照し、取得する。また、仮に重みを減算した場合、重みの変化の傾向がこれまでと異なるか検証し、これまでの変化と異なる傾向が見られた場合、重み更新を保留するために、ステップ1207へ進む。重みの変化にこれまでと異なる傾向が見られなかった場合は、ステップ1206へ進む(ステップ1211)。
The
また、本発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化することができる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成することができる。例えば、実施形態に示される全構成要素からいくつかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせても良い。 Further, the present invention is not limited to the above-described embodiment as it is, and at the implementation stage, the components can be modified and embodied within a range that does not deviate from the gist thereof. In addition, various inventions can be formed by an appropriate combination of the plurality of components disclosed in the above-described embodiment. For example, some components may be removed from all the components shown in the embodiments. Furthermore, components over different embodiments may be combined as appropriate.
101:Webアクセス制御装置
108:アクセス中継プログラム
109:Webサイト悪性度判定プログラム
110:追加認証要求プログラム
111:アクセス先情報取得プログラム
112:リスト更新プログラム
113:フィードバック値算出プログラム
114:重み更新プログラム
115:追加認証履歴
116:推測器管理表
117:推測器重み履歴
118:グレーリスト
119:ブラックリスト
120:ホワイトリスト
121:ユーザ端末
123:インターネット
124:悪性度推測器
101: Web access control device 108: Access relay program 109: Website malignancy determination program 110: Additional authentication request program 111: Access destination information acquisition program 112: List update program 113: Feedback value calculation program 114: Weight update program 115: Additional authentication history 116: Estimator management table 117: Estimator weight history 118: Gray list 119: Black list 120: White list 121: User terminal 123: Internet 124: Malignancy estimator
Claims (8)
アクセス先Webサイトの悪性度を推測する複数の推測器それぞれに対応する重みを保持し、
前記アクセス先Webサイトの悪性度を前記複数の推測器それぞれを用いて推測し、前記推測した悪性度それぞれを前記重みに基づいて統合するWebサイト悪性度判定部と、
前記統合した悪性度が所定の閾値より高いWebサイトへのアクセスを検出した際に、当該Webサイトへのアクセス可否を決定する追加認証を前記ユーザに要求し、前記追加認証の認証結果を取得する、追加認証要求部と、
前記認証結果に基づいて、フィードバック値を算出するフィードバック値算出部と、
前記複数の推測器それぞれの重みを更新する、重み更新部と、を備え、
前記重み更新部は、
前記複数の推測器それぞれについて、
当該推測器が推測した前記悪性度に基づく、当該推測器による当該Webサイトが悪性であるか良性であるかを示す判定結果を取得し、
当該判定結果が悪性を示し、かつ前記認証結果が成功である場合、又は当該判定結果が良性を示し、かつ前記認証結果が失敗である場合、当該判定結果と前記認証結果が一致しないと判定し、
当該判定結果が悪性を示し、かつ前記認証結果が失敗である場合、又は当該判定結果が良性を示し、かつ前記認証結果が成功である場合、当該判定結果と前記認証結果が一致すると判定し、
当該判定結果と前記認証結果が一致しない場合には前記フィードバック値に基づいて当該推測器の重みを減算し、
当該判定結果と前記認証結果が一致する場合には前記フィードバック値に基づいて当該推測器の重みを加算する、
ことを特徴とするWebアクセス制御装置。 A Web access control device that connects to a terminal operated by a user via a network.
Holds the weights corresponding to each of the multiple guessers that infer the malignancy of the accessed website,
A website malignancy determination unit that estimates the malignancy of the access destination website using each of the plurality of guessers and integrates each of the estimated malignancy based on the weight.
When an access to a website whose integrated malignancy is higher than a predetermined threshold is detected, the user is requested to perform additional authentication to determine whether or not to access the website, and the authentication result of the additional authentication is acquired. , Additional certification request section,
A feedback value calculation unit that calculates a feedback value based on the authentication result,
A weight update unit for updating the weight of each of the plurality of guessers is provided.
The weight update unit is
For each of the plurality of guessers,
Based on the degree of malignancy estimated by the guesser, the judgment result indicating whether the website is malignant or benign by the guesser is acquired.
If the determination result is malignant and the authentication result is successful, or if the determination result is benign and the authentication result is unsuccessful, it is determined that the determination result and the authentication result do not match. ,
If the determination result is malignant and the authentication result is unsuccessful, or if the determination result is benign and the authentication result is successful, it is determined that the determination result and the authentication result match.
If the determination result and the authentication result do not match, the weight of the guesser is subtracted based on the feedback value.
If the determination result and the authentication result match, the weight of the guesser is added based on the feedback value.
A Web access control device characterized by this.
前記フィードバック値算出部は、前記追加認証の結果が成功である場合、所定の初期値を、前記追加認証における認証が成功するまでの時間が長いほど大きく減算した値に基づいて前記フィードバック値を算出することを特徴とするWebアクセス制御装置。 The Web access control device according to claim 1.
When the result of the additional authentication is successful, the feedback value calculation unit calculates the feedback value based on a value obtained by subtracting a predetermined initial value greatly as the time until the authentication in the additional authentication succeeds becomes longer. Web access control device characterized by
アクセス先情報取得部を備え、
前記追加認証要求部が、前記悪性度が所定の閾値より高いWebサイトのサムネイル画像、whois情報、及びDNS情報の少なくとも一つを含む追加情報の要求を受け付けた場合、前記アクセス先情報取得部は当該Webサイトから前記追加情報を取得して出力することを特徴とするWebアクセス制御装置。 The Web access control device according to claim 1.
Equipped with an access destination information acquisition department
When the additional authentication request unit receives a request for additional information including at least one of a thumbnail image of a website having a malignancy higher than a predetermined threshold, whois information, and DNS information, the access destination information acquisition unit A Web access control device characterized by acquiring and outputting the additional information from the website.
前記フィードバック値算出部は、
前記追加認証の結果が成功である場合、
所定の初期値を、前記追加認証における認証が成功するまでの時間が長いほど大きく減算した値を算出し、
前記アクセス先情報取得部が前記追加情報を出力した場合、前記算出した値を前記フィードバック値として算出し、
前記アクセス先情報取得部が前記追加情報を出力した場合、前記算出した値を所定の割合で小さくした値を前記フィードバック値として算出することを特徴とするWebアクセス制御装置。 The Web access control device according to claim 3.
The feedback value calculation unit is
If the result of the additional authentication is successful,
A value obtained by subtracting a predetermined initial value greatly as the time until the authentication in the additional authentication succeeds becomes longer is calculated.
When the access destination information acquisition unit outputs the additional information, the calculated value is calculated as the feedback value.
A Web access control device characterized in that when the access destination information acquisition unit outputs the additional information, a value obtained by reducing the calculated value by a predetermined ratio is calculated as the feedback value.
前記フィードバック値算出部は、
前記追加認証の結果が失敗である場合、
前記追加認証においてタイムアウトした場合には、所定の初期値を前記フィードバック値として算出し、
前記追加認証においてタイムアウトしなかった、かつ前記アクセス先情報取得部が前記追加情報を出力した場合、前記所定の初期値を所定の割合で小さくした値に基づいて、前記フィードバック値を算出することを特徴とするWebアクセス制御装置。 The Web access control device according to claim 3.
The feedback value calculation unit is
If the result of the additional authentication is unsuccessful
If a time-out occurs in the additional authentication, a predetermined initial value is calculated as the feedback value.
When the additional authentication does not time out and the access destination information acquisition unit outputs the additional information, the feedback value is calculated based on the value obtained by reducing the predetermined initial value by a predetermined ratio. A featured Web access control device.
前記フィードバック値算出部は、前記追加認証の結果が失敗であり、前記追加認証においてタイムアウトしなかった、かつ前記アクセス先情報取得部が前記追加情報を出力した場合、前記所定の初期値を前記所定の割合で小さくした値を、前記追加認証における入力文字の正解数に応じてさらに小さくした値を、前記フィードバック値として算出することを特徴とするWebアクセス制御装置。 The Web access control device according to claim 5.
When the result of the additional authentication is a failure, the time-out does not occur in the additional authentication, and the access destination information acquisition unit outputs the additional information, the feedback value calculation unit sets the predetermined initial value to the predetermined value. A Web access control device, characterized in that the value reduced by the ratio of the above is calculated as the feedback value by further reducing the value according to the number of correct answers of the input characters in the additional authentication.
前記複数の推測器それぞれの重みの変化の時系列を保持し、
前記重み更新部は、
前記複数の推測器それぞれについて、
当該推測器による当該判定結果が前記追加認証の認証結果と一致した場合であって、前記フィードバック値に基づいて当該推測器の重みを減算したときに前記時系列を参照して当該推測器の重みの増加又は減少の時系列変化の傾向に変化がないと判定した場合、前記フィードバック値に基づいて当該推測器の重みを減算し、
当該推測器による当該判定結果が前記追加認証の認証結果と一致した場合であって、前記フィードバック値に基づいて当該推測器の重みを減算したときに前記時系列を参照して当該推測器の重みの増加又は減少の時系列変化の傾向に変化がないと判定した場合、前記フィードバック値に基づいて当該推測器の重みを加算することを特徴とするWebアクセス制御装置。 The Web access control device according to claim 1.
A time series of changes in the weights of each of the plurality of guessers is maintained.
The weight update unit is
For each of the plurality of guessers,
When the determination result by the guesser matches the authentication result of the additional authentication, and when the weight of the guesser is subtracted based on the feedback value, the weight of the guesser is referred to with reference to the time series. If it is determined that there is no change in the tendency of the time-series change of the increase or decrease of, the weight of the guesser is subtracted based on the feedback value.
When the determination result by the guesser matches the authentication result of the additional authentication, and when the weight of the guesser is subtracted based on the feedback value, the weight of the guesser is referred to with reference to the time series. A Web access control device comprising adding the weight of the guesser based on the feedback value when it is determined that there is no change in the tendency of the time-series change of the increase or decrease of.
アクセス先Webサイトの悪性度を推測する複数の推測器それぞれに対応する重みを保持し、
前記アクセス先Webサイトの悪性度を前記複数の推測器それぞれを用いて推測し、前記推測した悪性度それぞれを前記重みに基づいて統合し、
前記統合した悪性度が所定の閾値より高いWebサイトへのアクセスを検出した際に、当該Webサイトへのアクセス可否を決定する追加認証を前記ユーザに要求し、前記追加認証の認証結果を取得し、
前記認証結果に基づいて、フィードバック値を算出し、
前記複数の推測器それぞれの重みを更新し、
前記複数の推測器それぞれの重みの更新において、
当該推測器が推測した前記悪性度に基づく、当該推測器による当該Webサイトが悪性であるか良性であるかを示す判定結果を取得し、
当該判定結果が悪性を示し、かつ前記認証結果が成功である場合、又は当該判定結果が良性を示し、かつ前記認証結果が失敗である場合、当該判定結果と前記認証結果が一致しないと判定し、
当該判定結果が悪性を示し、かつ前記認証結果が失敗である場合、又は当該判定結果が良性を示し、かつ前記認証結果が成功である場合、当該判定結果と前記認証結果が一致すると判定し、
当該判定結果と前記認証結果が一致しない場合には前記フィードバック値に基づいて当該推測器の重みを減算し、
当該判定結果と前記認証結果が一致する場合には前記フィードバック値に基づいて当該推測器の重みを加算する、
ことを特徴とするWebアクセス制御方法。 It is a Web access control method using a Web access control device that connects to a terminal operated by a user via a network.
Holds the weights corresponding to each of the multiple guessers that infer the malignancy of the accessed website,
The malignancy of the access destination website is estimated using each of the plurality of guessers, and each of the estimated malignancy is integrated based on the weight.
When an access to a website whose integrated malignancy is higher than a predetermined threshold is detected, the user is requested to perform additional authentication to determine whether or not to access the website, and the authentication result of the additional authentication is acquired. ,
Based on the authentication result, the feedback value is calculated.
Update the weights of each of the multiple guessers,
In updating the weights of each of the plurality of guessers,
Based on the degree of malignancy estimated by the guesser, the judgment result indicating whether the website is malignant or benign by the guesser is acquired.
If the determination result is malignant and the authentication result is successful, or if the determination result is benign and the authentication result is unsuccessful, it is determined that the determination result and the authentication result do not match. ,
If the determination result is malignant and the authentication result is unsuccessful, or if the determination result is benign and the authentication result is successful, it is determined that the determination result and the authentication result match.
If the determination result and the authentication result do not match, the weight of the guesser is subtracted based on the feedback value.
If the determination result and the authentication result match, the weight of the guesser is added based on the feedback value.
A Web access control method characterized by this.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017092744A JP6993792B2 (en) | 2017-05-09 | 2017-05-09 | Web access control device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017092744A JP6993792B2 (en) | 2017-05-09 | 2017-05-09 | Web access control device |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2018190209A JP2018190209A (en) | 2018-11-29 |
JP2018190209A5 JP2018190209A5 (en) | 2020-03-19 |
JP6993792B2 true JP6993792B2 (en) | 2022-02-03 |
Family
ID=64480096
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017092744A Active JP6993792B2 (en) | 2017-05-09 | 2017-05-09 | Web access control device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6993792B2 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015170219A (en) | 2014-03-07 | 2015-09-28 | 株式会社日立システムズ | access management method and access management system |
JP5944041B1 (en) | 2015-11-19 | 2016-07-05 | ネクスト・イット株式会社 | Computer virus scanning device, computer virus method and computer medium |
US20170017793A1 (en) | 2015-07-15 | 2017-01-19 | Cylance Inc. | Malware detection |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19526954C1 (en) * | 1995-07-24 | 1996-04-18 | Siemens Ag | Statistical estimator computation unit |
-
2017
- 2017-05-09 JP JP2017092744A patent/JP6993792B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015170219A (en) | 2014-03-07 | 2015-09-28 | 株式会社日立システムズ | access management method and access management system |
US20170017793A1 (en) | 2015-07-15 | 2017-01-19 | Cylance Inc. | Malware detection |
JP5944041B1 (en) | 2015-11-19 | 2016-07-05 | ネクスト・イット株式会社 | Computer virus scanning device, computer virus method and computer medium |
Non-Patent Citations (1)
Title |
---|
セキュリティ対策に人工知能を活用,PC-Webzine,PC-Webzine編集局,2015年09月25日,Vol.284,pp.32-33,特に「課題を人工知能で解決」参照 |
Also Published As
Publication number | Publication date |
---|---|
JP2018190209A (en) | 2018-11-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210058354A1 (en) | Determining Authenticity of Reported User Action in Cybersecurity Risk Assessment | |
US10673896B2 (en) | Devices, systems and computer-implemented methods for preventing password leakage in phishing attacks | |
Ludl et al. | On the effectiveness of techniques to detect phishing sites | |
US9363286B2 (en) | System and methods for detection of fraudulent online transactions | |
CN105939326B (en) | Method and device for processing message | |
US8286225B2 (en) | Method and apparatus for detecting cyber threats | |
US20170118225A1 (en) | Preventing phishing attacks based on reputation of user locations | |
US8019689B1 (en) | Deriving reputation scores for web sites that accept personally identifiable information | |
Stock et al. | Protecting users against xss-based password manager abuse | |
KR20170121683A (en) | User centric authentication mehtod and system | |
US20090216795A1 (en) | System and method for detecting and blocking phishing attacks | |
CN107733853B (en) | Page access method, device, computer and medium | |
ITTO20130513A1 (en) | SYSTEM AND METHOD FOR FILTERING ELECTRONIC MESSAGES | |
JP4781922B2 (en) | Link information verification method, system, apparatus, and program | |
EP2922265A1 (en) | System and methods for detection of fraudulent online transactions | |
WO2015018311A1 (en) | Method and apparatus for verifying captcha | |
US9369438B2 (en) | Supervised data transfer | |
WO2017068714A1 (en) | Illegal communication control apparatus and method | |
JP6993792B2 (en) | Web access control device | |
CN111200591A (en) | Multiple man-machine verification method, device, equipment and storage medium | |
AU2012260619A1 (en) | Supervised data transfer | |
JP6842951B2 (en) | Unauthorized access detectors, programs and methods | |
JP2019021094A (en) | Web access control device | |
JP2012159980A (en) | Server for preventing identification information from being illegally acquired | |
CN113452803A (en) | Verification method, verification device, server and storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20190913 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20191016 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200205 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200205 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201125 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201201 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201228 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210525 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210714 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211207 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211210 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6993792 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |